Windows操作系统安全配置的方案综述.docVIP

Windows操作系统安全配置的方案综述 　　【摘要】本篇从windows 2000系列操作系统出发，由浅入深的探讨了系统的安全配置问题，结合读者的实际情况，按要求出发由低到高，给出了3种安全配置方案。 　　【关键词】安全配置;计算机 　　【中图号】TP316.7【文献标示码】A【文章编号】1005-1074(2008)11-0240-01 　　 　　随着家用计算机的日益普及，操作系统这个昔日很专业的术语也逐渐走入了大众的视野。人们在享受计算机带来的一切便利的同时，也时刻承受着来自互联网上木马，不良信息，网络入侵等多方面的威胁，尤其以网络安全类问题最为突出。本篇从windows 2000系列操作系统出发，由浅入深的探讨了系统的安全配置问题，结合读者的实际情况，按要求出发由低到高，给出了3种安全配置方案，即便是刚入门的计算机初学者也可以很快熟悉上手，掌握一定的系统安全知识。 　　 　　1安全配置方案初级篇 　　 　　1.1停止Guest账号在计算机管理的用户里面把guest账号停用，任何时候都不允许Guest账号登陆系统，为保险起见，最好给guest加载复杂密码，并修改guest账号属性，设置拒绝远程访问。 　　1.2陷阱账号所谓陷阱账号就是创建一个“Administrator”的本地账户，把它的权限设置成最低并加上一个超长的复杂密码，这样可以让那些企图入侵者花费很长的时间，并且可以借此发现他们的入侵企图。可以将该用户隶属的组修改成Guests组。 　　1.3更改默认权限将共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入网络的用户都能够获得这些共享资料。 　　1.4安全密码一些网络管理员创建账号时往往用公司名、计算机名或者一些别的容易猜到的字符做用户名，然后又把这些账户的密码设置的比较简单。这样的账户应该要求用户首次登陆时更改成复杂的密码，还要注意经常更改密码。 　　 　　2安全配置方案中级篇 　　 　　2.1关闭不必要的服务为了能够在远程方便的管理服务器，很多计算机的终端服务都是开启的，如果开启了，要确认已经正确配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行服务器上的终端服务，要留意服务器上开启的所有服务并每天检查。Windows 2000作为服务器可禁用的服务包括一下几种：Computer Browser,Task scheduler,Routing and Remote Access,Removable storage,Print Spooler,IPSEC Policy Agent,Distributed Link Trackin Client,Com+ Event System等。 　　2.2关闭不必要的端口关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少些。 　　2.3开启审核策略安全审核是Windows 2000最基本的入侵检测方法。当有人尝试队系统进行某种方式（如尝试用户密码，改变账户策略和未经许可的文件访问等）入侵时，都会被安全审核记录下来。具体设置如下：审核系统用户登录事件：成功，失败；审核账户管理：成功，失败；审核登录事件：成功，失败；审核对象访问：成功；审核策略更改：成功，失败；审核特权适用：成功，失败；审核系统事件：成功，失败。审核策略在默认的情况下都是没开启的，双击审核列表某一项，出现设置对话框，将复选框“成功”和“失败”都选中，按照顺序将需要设置的策略全部设置。 　　2.4开启密码策略密码队系统安全非常重要，本地安全设置中的密码策略在默认情况下都没有开启。密码复杂性要求：启用，密码长度最小值：6位，密码最长存留期：15天，强制密码历史：5次 　　2.5开启账户策略开启账户策略可以有效防止字典式攻击，设置如下：复位账户锁定计时器：30分钟，账户锁定时间：30分钟，账户锁定阈值：5次 　　2.6不显示上次登录名修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键Softwart\Microsoft\WindowsNT\CurrentVersion\Winlogin\DontDisplayLastUserName,将键值改成1。 　　2.7禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而可以枚举出账号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改为1即可。 　　3安全配置方案高级篇 　　3.1关闭DirectDraw在HKEY_LOCAL_M